qno 侠诺五招轻松提高vpn 稳定性.pdf

Qno 侠诺五招 轻松提高VPN 稳定性 VPN 对于企业信息化的建设，已经是不可缺少的一环了。随着进销存、财务、ERP 、 CRM 等软件的的普及，很多中小企业为了达到进一步针对远程存取的目的，开始进行VPN 环境的建置。有了VPN ，中小企业的分支机构及移动用户，可以通过互联网接入企业局域 网的服务器，既可以达到实时办公的效果，又不必担心因此而在信息安全上有漏洞或折扣， 方便实用！ 根据Qno 侠诺的多年服务经验，曾接触了很多中小企业的用户。中小企业用户的网管， 由于人力有限，对于基本的VPN 原理及配置的了解，通常较少，也没有时间一一检阅产品 的使用手册。所以，经常在初始建置VPN 时，只要求能达到接通、联网的目的即可，但随 着使用经验的积累，却不知如何进行VPN 配置的优化，进而达到较佳的远程接入效果。 下面，我们就针对中小企业用户进行VPN 配置时，将可进行优化的配置加以说明，网 管如能注意这些配置，相信VPN 的稳定度可有效地提高。 一、要选择适当的VPN 协议 大多数中小企业的网管，通常喜欢使用设定简单的PPTP ，而不喜欢设定较为繁复的 IPSec 。因此，有时会看到同一个局域网多个用户同时使用PPTP 协议，连回总部的VPN 网 关。由于PPTP 协议需要的运算量较大，再加上一般VPN 网关支持的PPTP 用户有限，因此 如果人数较多，就容易发生由于新的用户加入，原有用户掉线的情况；或者是因为用户人数 较多而互相干扰的情况。没有经验的网管，直观认为是VPN 有问题，但是却疏忽了是因为 采用错误的VPN 协议所致。 简单地说，PPTP 适用远程用户较少，移动用户的安全性要求较低，而IPSec 适用远程 的群组用户或安全度要求较高情况。因此若是分公司需要连接公司总部服务器人数较多时， 就适用IPSec 。由于IPSec 只要建立一条VPN 隧道，就可提供多个用户使用，因此不管在运 算能力使用或是稳定性方面，都比同时建立多条PPTP 要好得多。相同的推断，也适用在 SSL 上，SSL 协议较PPTP 安全，配置也方便，但是在同一群用户同时需要连接公司总部服 务器时，多条SSL 所占的系统资源及稳定性都会比IPSec 还差。 对于害怕IPSec 配置困难的用户，Qno 侠诺产品提供了专有的SmartLink 协议，配有象 PPTP 一般简化的配置，既能建立起IPSec 联机，又能节省系统资源，同时兼顾两种协议的 优点。 二、持续VPN 需要可善用Keep-alive 功能 一般的VPN 联机，具备有侦测的功能，当一段时间没有在VPN 隧道传送网络包时，就 会自动切断VPN 联机。这个做法，既节省系统资源，也可防止没有必要的网络广播包通过 1 VPN 联机，影响到不同局域网的运作。例如微软的网络芳邻，在开启NetBIOS Broadcast 的 情况下，就会不同发出广播包，以便更新计算机的名称及位置。当内部碰到广播风暴攻击时， 也会经过VPN 隧道互相影响。 当VPN 隧道切断时，随时可由存取远方服务器的封包而启动，例如用户向总部提出联 机需要时，路由器可自动侦测而建立联机。建立联机的时间是很短的，用户只会感到稍有延 滞，并不会有明显感觉。但是在有些应用情况下，例如辨认双方IP 或是要有更高稳定性时， 可启动“Keep-Alive”的选项，即可持续保持VPN 的联机，不会因为没有用到而掉线。用户再 需要相关功能时，立即就可进行存取，不会有任何不同。 三、有效利用DPD VPN 通知侦测功能 VPN 的建立是由双方VPN 网关进行，任一方网关有问题，都可能导致无法建立联机。 由于两方的网络环境不同，加上中国的网络环境变化较大，因此在实际的用户使用中，常常 发生分公司路由器，由于电源供应不稳定、ISP 网络不稳定，而突然掉线的情况，在这种情 况下，分公司VPN 网关所建立的VPN 隧道自然也掉线了，但是此时总公司的VPN 网关并 不知道，经常发生分公司网关要重建VPN 时，总公司VPN 网关反而认为是不正常的联机要 求，而加以拒絶。这样就会造成完全无法建立联机，或需要重启总部路由器，重建所有VPN 隧道的不合理情况。 在IPSec VPN 协议中，即规范了一个解决这个问题的机制，叫作DPD （Dead peer detection ），顾名思义，就是侦测VPN 另一端VPN 网关是否正常的机制。DPD 机制可以规 范每过一段时间，例如